Google resolve pela segunda vez a falha XSS no Maps

Google resolve pela segunda vez a falha XSS no Maps.

O Google corrigiu a vulnerabilidade XSS no Google Maps relatada via o programa de bounty Google Vulnerability Reward Program (VRP) e, em troca, os investigadores foram agora recompensados financeiramente pelas suas descobertas.

Em detalhe, a vulnerabilidade XSS no Google Maps foi descoberta inicialmente por Zohar Shachar, chefe de segurança de aplicações da Wix, e relatada ao Google através do programa de bounty VRP.

O google maps permite criar os próprios mapas do utilizador, e depois de criar os mapas, exportá-los em vários formatos, como CSV, XLSX, KML ou GPX.

Shachar exportou o mapa em formato KML que foi usado depois para exibir os resultados no Google Earth. O nome do mapa está presente na tag CDATA “o que significa que o código não será renderizado pelo browser”.

According to Shachar, “by adding ‘]]>’ at the beginning of your payload (I.e. as the beginning of the ‘map name’), you can escape from the CDATA and add arbitrary XML content (which will be rendered as XML) – leading immediately to XSS.”

Ele também forneceu os passos para reproduzir o problema. O bug foi relatado ao Google e eles pagaram $5.000 de recompensa.

É possível saltar a correção da falha?

A resposta é um sim. Para corrigir o problema com a tag CDATA, o Google adicionou outra tag CDATA, e Shachar relatou o problema novamente ao Google.

“I was genuinely surprised the bypass was so simple. I reported it so quickly (literally 10 minutes between checking my mailbox and reporting a bypass), that right after sending this mail I started doubting myself.”

Em duas horas, o Google reconheceu o problema, reabriu o caso e atualizou o bug.

O primeiro problema de XSS foi relatado ao Google em 23 de abril e corrigido em 7 de junho. O segundo problema foi endereçado poucos dias depois e o pagamento efetuado pelo Google em 18 de junho. Para cada relatório de vulnerabilidade Shachar recebeu $5.000, então o total a recompensa pelo seu trabalho foi $10.000.

“Ever since this Google-maps fix bypass incident I started to always re-validate fixes, even for simple things, and it has been paying off. I full-heartedly encourage you to do the same,” Shachar said.

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.